la seguridaddel endpoint en la transformacióndigital...(80%), gobierno (incluyendo fuerzas...
TRANSCRIPT
La seguridaddel Endpoint enla TransformaciónDigital
Regulaciones, Impacto y Mejores Prácticas
Vicente Gozalbo. IBM Product Segment Leader LA
Transformación DigitalUn rápido cuestionario sobre Seguridad en los dispositivos móviles
• Volumen, ¿Cuál es el tipo de infraestructura IT más NUMEROSA en producción en el mundo?
• Smartphones y Tablets: miles de millones, más dispositivos que humanos
• Seguridad, ¿Cuál es la infraestructura más vulnerable actualmente en IT ?
• Smartphones y Tablets, por la diversidad de Sistemas operativos y el gran volumen, quedan mucho tiempo vulnerables
• Riesgo, ¿Cuál es la infraestructura IT que más expone la información corporativa?
• Smartphone y Tablets, porque están más cerca del punto más débil de la cadena: el usuario
• Tendencia, ¿Cuál es el tipo de infraestructura que va a seguir creciendo exponencialmente?
• Smartphone y Tablets (sistemas Android embebidos), por la explosión de la IOT y la 5G
• Prevención, ¿Cuáles son las medidas que las organizaciones están tomando?
• Casi ninguna, el 85% de nuestros clientes todavía no han implementado una solución de gestión del entorno móvil.
TransformaciónDigitalLa transformación digital es el cambio asociado con la aplicación de tecnología digital en todos los aspectos de sociedad humana.1
3
IBM Security / © 2019 IBM Corporation
Manage threats
According to Aviva plc CISO, Bryan Littlefair, after your company is breached,
60 percent of your customers will think about moving and 30 percent actually
do.
33 percent of consumers said they would stop dealing with a business
following a security breach, even if they do not suffer a material loss.
¿ Es esto importante (I) ?
Las amenazas actuales impactan al negocio
60%33% “The Deloitte Consumer Review Consumer data under attack: The growing threat of cyber crime”
¿ Es esto importante ? (II)La realidad supera previsiones
5
Madurezde SeguridadCorporativaenLA
6
SANS 20 Critical ControlsDesde 2012
7
www.sans.org/critical-security-controls/www.sans.org/critical-security-controls/
…El control de Inventario sigueestando en la primera prioridad en2019
8
Ejecución del ESMW
• Realizado en más de 150 clientes seleccionados en todo el mundo de todos los sectores
• En Latinoamérica se ha ejecutado en más de 20 clientes de 10 países. (Mexico, Guatemala, Costa Rica, Panamá, Colombia, Peru, Ecuador, Venezuela, Chile, Bolivia)
• Sectores principales son Banca y Finanzas (80%), Gobierno (incluyendo fuerzas militares) y Telco
• Entrevistados más de 350 especialistas de 30 organizaciones públicas y privadas.
+30 clientes
10 Paises
+350 profesionales
Resultados Ejemplo del Taller (Dominio de Gobierno)
• Los resultados contienen una comparación gráfica de los niveles de madurez actual (Azul) y objetivo (rojo) y la posición de la industria, (triangulo), y la posición deseada por la industria (rombo)
• Cada sección tiene un cuadro similar que proporciona una comparación para todos los controles de seguridad
0
1
2
3
4
5
Target Security Posture
Current Security Posture
Industry Posture
Resultados Ejemplo del Taller – Resumen• Este es un resumen de un taller de madurez hipotético que muestra la mezcla actual de
Personas, Procesos y Tecnología que se utiliza para implementar la seguridad en la organización.
0% 50% 100%
GRC
People
Data
Applications
Infrastructure
People
Process
Technology
People37%
Process40%
Technology23%
Security Implementation Posture -GRC
Domain ControlCurrent
MaturityGap Target Maturity
Infrastructure Intrusion Defence and Protection 2.5 1.5 4
People Identity Establishment 4 1 5
Application Application Inventory 2 1 3
People Persons Identity Lifecycle Management 2.5 1 3.5
People System and Service Account Lifecycle Mgmt 2 1 3
GRC Regulatory Compliance 3 1 4
Data Fraud Prevention & Detection 2 1 3
People Remote Access To Corporate Data and Apps 2 1 3
People Privileged & Shared Identity Management 2 1 3
Data Data Classification & Database Configuration 2 0.5 2.5
Infrastructure Asset Management 2 0.5 2.5
Infrastructure Vulnerability Scanning & Assessment 2.5 0.5 3
Data Data Transaction Security 2 0.5 2.5
Application Secure Design & Threat Modelling 2.5 0.5 3
GRC Information Security Policy 2.5 0.5 3
Data Data Lifecycle Management 2 0.5 2.5
Infrastructure Patch Management 2.5 0.5 3
Application Secure Coding Practices 3 0.5 3.5
GRC Security Risk Management 2.5 0.5 3
GRC Incident Response & Management 2 0.5 2.5
GRC Security in Business Continuity Planning 2 0.5 2.5
Infrastructure Network Security Infrastructure 2 0.5 2.5
People Authentication Services & SSO 2 0.5 2.5
Application Application Security Assessment & Testing 2.5 0.5 3
GRC Security Culture & Awareness Training 2 0.5 2.5
Application Vulnerability Remediation & Risk Mitigation 3 0.5 3.5
GRC Enterprise Security Architecture 2 0.5 2.5
Infrastructure Event Correlation 2 0 2
GRC Governance Structure 3 0 3
Infrastructure Standard Operating Environment 2.5 0 2.5
GRC Information Asset Profile 2 0 2
GRC Threat Risk Assessment 3.5 0 3.5
Data Encryption & Key Management 2 0 2
People Authorization Services 2.5 0 2.5
Visión táctica
Controles con más GAP
Estadísticas Comparativas.
5 Mejores controles - Media
Estadísticas Comparativas del IBM Enterprise Security Maturity Workshop (ISO27K/COBIT) en más de 30 organizaciones, hasta 2018
5 Peores controles - Media
Regulaciones
Es el principal vector de acción de las organizaciones
15
Cumplimiento Regulatorio
• Necesidad inmediata de cumplimiento normativo con el Reglamento 5633 de la Registraduría Colombiana: Protección técnica para acceso a registros con información personal.
• La Registraduría multaría o bloquearía cualquier acceso a bases de datos personales en caso de incumplimiento
• Los terminales móviles (Smartphone y Tabets) forman ya parte del core business de muchas compañías comerciales, sirviendo como oficina móvil y ejecutanto todos los procesos (aplicaciones) de atención comercial al público.
• Gestionar las restricciones tecnológicas del presente reglamento y capacidad de adaptarse a futuros requerimientos.
• Acceso controlado biométricamente
• Control de GPS y geo cercas
• Gestión del cifrado del terminal
• Capacidad de borrado total del terminal o parcial del documentos
• Necesidad de puedta en producción con urgencia.
Cumplimiento Regulatorio
GDPR: ¿ Debo observarla ?
• Implicaciones Globales
• Colombia y Perú tienen un acuerdo de libre comercio con la UE en el que se observan
• IBM ha aplicado GDPR a todos los contratos, procesos y servicios a nivel Global.
UEM es el nuevo MDM
>Se necesita una gestion unificadadel punto final
18
UEM – Unified Endpoint Management
Conforme a Forrester, en 2020*:
1. El 96% de las organizaciones aumentarán los datos que se procesan de sus empleados y colaboradores
2. Solamente el 54% de las organizaciones tendrán un UEM implementado
3. El 80% necesitarán de la Inteligencia Artificial para tomar buenas decisiones acerca de sus Endpoints.
IBM MaaS360 with Watson for cognitive UEM
Trusted AdvisorAugmented intelligence and cognitive computing
Actionable insights Contextual analytics
Apps and content People and identity
Apps Content Data Identity Threats Connectivity
Devices and things
Smartphones Tablets Laptops Wearables Internet of Things
21
Un ROI avanzado y detallado
TEI BY FORRESTER
Análisis TEI y Ventajas encontradasLorem ipsum dolor sit amet, consectetur adipiscing elit.
22
Mejores PrácticasPara mantener el control sobre la infraestructura que da soporte a la transformación digital
• Apóyese en Inteligencia Artificial.
• No encontrará materia gris suficiente para procesar los datos provenientes de decenas de miles de dipositivos. Ni de miles. Ni de centenas. Ni de decenas.
• Use Cloud y SaaS
• No complique más las cosas con tecnología on-premise para infraestructura que está off-premise
• Automatice la detección y remediación
• Uno de cada cuatro de sus dispositivos ya está infectado
• Integre la gestion de Identidades y accesos
• Conocer qué necesita el usuario y cómo se interrelacionacon la tecnología es aumentar la productividad
23
